In 5 Schritten zur systematischen AI Governance: KI rechtssicher nutzen

Die neue Realität: KI und Regulierung greifen ineinander

Mit dem stufenweise seit Februar 2025 geltenden EU AI Act kommen auf Anbieter und Betreiber von KI-Systemen umfassende Pflichten zu.

Dabei verfolgt der Gesetzgeber einen risikobasierten Ansatz: Je höher das Gefährdungspotenzial eines KI-Systems, desto umfangreicher und strenger fallen die Anforderungen an Risikomanagement, Cybersicherheit, Dokumentations- und Transparenzpflichten aus.

Für Unternehmen bedeutet das: Sie müssen den Überblick über eingesetzte KI behalten, Risiken frühzeitig erkennen und ihre Prozesse rechtskonform gestalten.

Die 5 Schritte zum rechtssicheren KI-Einsatz

Mit diesen fünf Schritten schaffen Sie eine strukturierte Grundlage für eine rechtssichere und verantwortungsvolle Nutzung von Künstlicher Intelligenz in Ihrem Unternehmen:

1. AI Management etablieren

AI Management ist die Gesamtheit der Regeln, Prozesse und Strukturen, die die Entwicklung, den Einsatz bzw. die Überwachung von KI in einer Organisation steuern. Dazu zählen die Festlegung von Verantwortlichkeiten und Prozessen innerhalb des Unternehmens sowie die Erstellung und Implementierung von Leit- und Richtlinien zum Einsatz von KI.

Soweit bereits ein Datenschutzmanagementsystem (DSMS) und/oder Informationssicherheitsmanagementsystem (ISMS) bestehen, empfiehlt es sich, das AI-Managementsystem (AIMS) integriert darin aufzubauen, um Synergien zu nutzen, Aufwand zu reduzieren und eine einheitliche Steuerung von Risiken und Compliance-Anforderungen sicherzustellen.

Die neue Norm ISO/IEC 42001 für KI-Managementsysteme folgt insoweit ebenfalls dem gleichen Grundaufbau wie die etablierten Normen ISO/IEC 27001 (Informationssicherheit) und ISO/IEC 27701 (Datenschutz).

2. Risikoklassifizierung durchführen

Zunächst hat für jede KI-Anwendung eine Risikoklassifizierung zu erfolgen.

Dabei sind folgende Risikoklassen zu unterscheiden:

• KI-System mit inakzeptablem Risiko
• KI-System mit hohem Risiko
• KI-System mit systemischem oder mittlerem Risiko
• KI-System mit geringem Risiko

Zudem ist die Rolle des Unternehmens (z. B. Anbieter oder Betreiber) zu bestimmen. Die richtige Einstufung der Risikoklasse und Rolle ist entscheidend dafür, welche konkreten Pflichten und Verantwortlichkeiten nach dem AI Act bestehen.

3. Dokumentation von Assets und Use-Cases

Unternehmen sollten alle relevanten Informationen zu den eingesetzten KI-Anwendungen dokumentieren. Hierdurch können nicht nur technische Dokumentationspflichten erfüllt, sondern auch Risikoprüfungen, etwa Datenschutzfolgenabschätzungen (DSFA), wesentlich erleichtert werden.

Die Dokumentation kann erfolgen in:

• Asset-Verzeichnissen , in denen KI-Anwendungen anwendungsbasiert erfasst werden
• Use-Case-Dokumentationen , in denen die konkreten Anwendungsfälle der KI in Anlehnung an das aus dem Datenschutz bekannte Verzeichnis von Verarbeitungstätigkeiten erfasst werden

4. Risikomanagement etablieren

Für Hochrisiko-KI ist ein Risikomanagementsystem nach Art. 9 KI-VO verpflichtend. Doch auch für alle anderen KI-Systeme ist es dringend zu empfehlen – insbesondere bei KI-Systemen, die auf intransparenten (sogenannten "Black-Box") Modellen basieren.

Ein zentraler Bestandteil des Risikomanagements ist eine Risikoprüfung des konkreten KI-Systems.

Diese erfolgt in drei Schritten:

• Identifikation von Risiken
• Bewertung der Risiken
• gegebenenfalls Umsetzung risikomindernder Maßnahmen

Diese Vorgehensweise orientiert sich an der Methodik der DSFA und kann, sofern durch die KI-Anwendung personenbezogene Daten verarbeitet werden, mit dieser kombiniert oder in sie integriert werden.

5. Transparenzanforderungen umsetzen

Sowohl als Anbieter als auch Betreiber eines KI-Systems müssen Sie verschiedenen Transparenzpflichten nach dem AI Act und der DSGVO nachkommen.

Diese Pflichten reichen von der Informationspflicht über den Einsatz und die Verarbeitung von personenbezogenen Daten, über die Offenlegungs- und Kennzeichnungspflicht von KI-generierten Inhalten (z. B. bei Texten, Bildern oder Entscheidungen), bis hin zur Bereitstellung von Gebrauchsanweisungen, die eine sachgerechte und sichere Nutzung des KI-Systems ermöglichen sollen.

Tipp: AI-Officer als zentrale Steuerungsrolle für KI im Unternehmen

Die Benennung eines AI-Officers bzw. KI-Beauftragten als zentrale Funktion ist rechtlich nicht verpflichtend, stellt jedoch eine zu empfehlende strategische Maßnahme dar, um die AI-Governance im Unternehmen zu etablieren.

Geeignet sind Abteilungen und Personen, die Erfahrung und Wissen bei der Operationalisierung rechtlicher Anforderungen in der Unternehmenspraxis haben.

Zu den zentralen Aufgaben des AI-Officers zählen unter anderem die Strategieentwicklung, Erstellung und Umsetzung von Leit- und Richtlinien, Projektplanung und -steuerung, interne Koordination regulatorischer Herausforderungen, Durchführung von Schulungen zur AI Literacy sowie die Kommunikation mit Behörden und externen Stakeholdern.

Unsere Leistungen: So unterstützen wir Sie beim rechtskonformen KI-Einsatz

Als spezialisierte Unternehmensberatung für KI-Compliance begleiten wir Sie umfassend bei der Umsetzung Ihrer AI Governance:

• Stellung des externen KI-Beauftragten
• Beratung zum Einsatz von KI-Anwendungen
• Data & AI Governance
• Schulung zu KI und Datenschutz
• ISO 42001-Zertifizierung

Sprechen Sie uns an – gemeinsam machen wir Ihre KI-Strategie zukunfts- und compliance-sicher.